Gelöst - Pfsense mit zwei WAN Gateways



  • Guten Morgen Forum.

    Ich arbeite mich zur Zeit in Pfsense ein (die in Zukunft die elend langsame Watchguard Box ersetzen soll) und stoße gerade auf ein Problem, dass ich nicht alleine lösen kann.
    Ich habe ein LAN und zwei Internetleitungen, eine ist eine V-DSL und eine ist eine S-DSL. V-DSL mit Telekom-Modem und fetser IP nach außen und die S-DSL mit Router und einem 8er IP Range (also auch feste Adresse). Nun möchte ich, dass der Traffic auf Port 80 und 443 (also der ganz banale Interzugang) über die schnelle V-DSL Leitung geht, E-Mail, FTP und SSH sollen über die synchrone 20MBit Leitung raus gehen.

    An der Stellen mal mein Netz:

    Lokales Netz: 192.168.128.0/24

    Schnittstellen Pfsense:
    LAN: 192.168.128.39
    WAN1 (V-DSL): 192.18.100.111 -> T.Com-Router: 192.168.100.1 (intern) -> feste IP extern
    WAN2 (feste IP, direkt im Internet)

    WAN2 ist das Standard-Gateway für die Pfsense.

    Nun habe ich es auch geschafft, dass der Internettraffic über WAN1 raus geht, alles andere über WAN2. Nun möchte ich, dass der Internetzugang über den Proxy (Squid) läuft, da der auch Seiten filtern kann und dynamischen Content wie Windows-Updates etc. cachen kann. Ich habe den Squid aktiviert und ihn als transparenten Proxy eingerichtet. Nun läut aber der komplette Traffic über WAN2 (ich schätze, der Proxy nimmt einfach das Standard-Gateway und kümmert sich nicht um meine Firewall-Regeln).

    Nun meine Frage(n): Ist es überhaupt möglich, dem Proxy zu sagen, über welche Schnittstelle er gehen soll? Wenn das nicht, kann ich es mit Firewall-Rules schaffen, das zu erreichen?
    Leider bin ich noch nicht wirklich tief im Thema Firewall und Regeln, ich habe vorher nur mit iptables einzelne Rechner gesichert. Das, was ich da möchte, ist schon eine (oder mehrere:-) Nummern größer.

    Ich bin für jede Hilfe sehr dankbar.

    P.S. Es läuft Version 2.3.2
    P.P.S. Ich habe das Standardgateway nun auf die WAN1 Schnittstelle gelegt, der Proxy geht jetzt über die richtige Leitung raus, allerdings geht auch FTP etc. über das Standard-Gateway.


  • Rebel Alliance Moderator

    allerdings geht auch FTP etc. über das Standard-Gateway.

    Auch wenn es entsprechende Regeln auf dem LAN gibt, die den Traffic über WAN2 schicken? Kann ich mir an der Stelle kaum vorstellen, es sei denn du hast intern den FTP Proxy Helper aktiv, bei dem wieder kein Gateway selektierbar ist. Ansonsten einfach eine Regel mit entsprechenden Advanced Options und dem anderen Gateway erzeugen und testen. :)



  • Hallo.

    Ja, Du hast recht, ich hatte den FTP Client Proxy aktiviert, ich dachte zwar, den hätte ich deaktiviert, war aber nicht so. Ohne den bekomme ich FTP leider nicht durch die Firewall, ist mir irgendwie nicht gegeben

    So, mein Problem habe ich dann auch gelöst. In der Squid-Config kann man eine Outgoing-Adresse angeben. Ich habe dort das Gateway WAN1 eingegeben, das Default Gateway wieder auf WAN2 gelegt und alles ist fein. Dummerweise funktionieren einige Webseiten mit dieser Konstellation nicht (z.B. Bild.de - ICAP-Server nicht erreichbar), aber wenn der Virenscanner deaktiviert wird, gehen auch diese Seiten. Lustigerweise schlägt CLAMAV trotzdem Alarm, wenn ich auf der Eicar Seite den Testpattern runter laden will.


  • Rebel Alliance Moderator

    Ich mutmaße mal, dass die Seiten die nicht gehen wie Blöd ;) z.B. sehr aggresive anti-adblocking Regeln verwenden. Da ist ja gerade Springer und Co ganz groß drin…



  • Wäre eine schöne Erklärung, ist aber leider nicht so, betrifft auch andere Seiten. Bei vielen Seiten habe ich das Gefühl, dass sie langsamer laden.


Log in to reply